bmitsol
Goto Top

Tunnel VPN to VPN

Guten Abend.

Folgende Problemstellung:
Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den Hauptserver im Rechenzentrum angeschlossen.
Die Standorte bauen ihre VPN zwischen einer Zyxel USG200 und pfSence auf.
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.

Mein erster Versuch war es ein Routing zu definieren, dass alle eingehenden Anfragen von IP-Kreis des Netzwerk A auf IP Kreis des Netzwerk-B umgeleitet werden.

Viele Dank im Voraus

Content-ID: 318903

Url: https://administrator.de/contentid/318903

Ausgedruckt am: 24.11.2024 um 13:11 Uhr

LordGurke
LordGurke 23.10.2016 um 22:09:00 Uhr
Goto Top
Als Frage jetzt ein bisschen kurz...
Grundsätzlich ist der Gedanke korrekt, dass jeder Standort möglichst sein eigenes IP-Netz hat, dann kann man das ganz geschmeidig auf der pfSense untereinander routen.
sk
sk 23.10.2016 um 22:44:01 Uhr
Goto Top
Um wieviele Standorte geht es und wie sieht das IP-Adress-Schema aus?
ChriBo
ChriBo 24.10.2016 um 08:47:03 Uhr
Goto Top
Hi,
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.#
-
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Mit OpenVPN ist es umsetzbar.

Gruß
Christoph
sk
sk 24.10.2016 aktualisiert um 17:48:03 Uhr
Goto Top
Zitat von @ChriBo:
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.

Kurzes googeln ergab tatsächlich einige Threads, die dies nahelegen. Auch wenn wir pfSense hier immer nur zur reinen Paketfilterung - nie als VPN-Gateway - genutzt haben, erscheint mir dies in dieser Absolutheit aber eher zweifelhaft.
Gesichert erscheint, dass man mit pfSense - anders als bei den USGs in den Aussenstellen - keinen Traffic zwangsweise per Route in den IPSec-Tunnel schieben kann, der nicht Teil der Phase2-SA ist. Oder anders ausgedrückt: die pfSense kann kein routebased IPSec-VPN, sondern arbeitet diesbezüglich nur policybased.
Dies heisst aber gleichsam nicht zwangsläufig, dass eine pfSense nicht doch als Hub in einer IPSec-Hub-and-Spoke-Konfiguration fungieren kann. Man muss vermutlich lediglich die IPSec-Parameter (Phase2) so konfigurieren, dass sie sämtliche beteiligten IP-Netze erfasst. Das ging bisher noch bei jedem IPSec-Gateway - selbst bei einer Fritzbox. Siehe z.B. Ping über mehrere VPN Tunnel
Gemäß dieses Threads scheint dies auch mit einer pfSense zu funktionieren: https://forum.pfsense.org/index.php?topic=69203.0
Freilich ist dies etwas "unhandlich" bei vielen Standorten und/oder bei einem undurchdachten IP-Adress-Design. Deshalb fragte ich gezielt hiernach. Unter Umständen wäre es sinnvoller, die pfSense der Zentrale ebenfalls durch eine Zywall USG zu ersetzen. Diese kann das gewünschte Szenario problemlos "routebased" abbilden.

Gruß
sk
bmitsol
bmitsol 24.10.2016 aktualisiert um 19:40:41 Uhr
Goto Top
Alloha zusammen,

IP-Strucktur:

Servernetz (PFSense): 192.168.1.0/24
Netz 1: 10.7.64.0/24
Netz 2: 10.7.80.0/24
Netz 3: 10.7.112.0/24
In Netz 1 bis 3 regelt eine ZyXEL USG die VPN.

Wenn ich nun von Netz 1 auf Netz 2 möchte, folgender Gedankengang:
1. Routing auf die ZyXEL USGs jezweils andere IP-Kreise (Netz 1/2/3: 10.7.0.0/16 - Gateway 192.168.1.1 (PFSense)
2. Routing in der PFSense ??


VG
Christian


PS: Die Links werde ich mir gleich mal anschauen.
bmitsol
bmitsol 24.10.2016 um 19:51:50 Uhr
Goto Top
EDIT:

Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?
bmitsol
bmitsol 24.10.2016 aktualisiert um 20:24:04 Uhr
Goto Top
EDIT2:

DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...

Allerdings verstehe ich nicht wie ich das verwirklichen soll:

Regular static routing doesn't work with IPsec tunnels due to the way it is hooked to the system kernel.
In order to achieve this, you need to create an additional Phase2 on A and B, with "remote network" set as the opposite site subnet

Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?
sk
sk 24.10.2016 aktualisiert um 22:07:08 Uhr
Goto Top
Zitat von @bmitsol:
EDIT:
Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?

Auf den Zywalls? Da würde man es normalerweise per Policy-Routing regeln. Da die pfSense das aber nicht unterstützt, musst Du Dich nach der pfSense richten.


Zitat von @bmitsol:
EDIT2:
DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...
...
Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?

Ja. Aufgrund dessen, dass bei Dir die Zentrale und die Außenstellen nicht in einem aggregierbaren IP-Adresskreis liegen, benötigst Du auf der pfSense pro Außenstelle mind. eine zusätzliche Phase2-Policy. Selbiges gilt dann leider auch für die USGs in den Außenstellen.
Sofern die pfSense damit klarkommt, dass local Net und remote Net überlappen, dann könntest Du per Supernetting aber immerhin pro Außenstelle mit nur einer zusätzlichen Tunneldefinition auskommen.

Beispiel USG_Netz_1 nach pfSense:
- local Net = 10.7.64.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_1:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.64.0/24

Beispiel USG_Netz_2 nach pfSense:
- local Net = 10.7.80.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_2:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.80.0/24

Netz 3 analog.

Wie Du siehst, war es ungünstig, der Zentrale eine 192er Adresse zu geben. Leg sie in einen 10.7er Bereich und Du musst keine zusätzlichen Phase2-Policies anlegen, sondern lediglich die bestehenden anpassen. Wie gesagt: Unter dem Vorbehalt, dass die pfSense damit klar kommt und wie angenommen "tickt"...

Gruß
sk